Leer en inglés

Compartir a través de


Prueba de las directivas de prevención de pérdida de datos

Debe probar y ajustar el comportamiento de las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP) como parte de la implementación de la directiva DLP. En este artículo se presentan dos de los métodos básicos que puede usar para probar directivas en el entorno DLP.

Modo de simulación

Cuando implemente una nueva directiva o necesite modificar una existente, debe ejecutarla en modo de simulación y, a continuación, revisar las alertas para evaluar su precisión. El modo de simulación permite ver cómo una directiva individual afecta a todos los elementos que están en el ámbito de las directivas sin la aplicación real. Se usa para averiguar qué elementos coinciden con una directiva.

Obtener información con Security Copilot

Nota

La característica Obtener información con Copilot está en versión preliminar.

Obtener información con Copilot es una aptitud de Security Copilot que se inserta en la página de directivas de Prevención de pérdida de datos de Microsoft Purview. Puede ayudarle a comprender qué hacen las directivas en su organización y dónde están activas.

Captura de pantalla del control Obtener información en la página Directivas DLP.

Seleccione una o varias directivas y, a continuación, seleccione Obtener información con Copilot. Copilot genera una respuesta que le proporciona información sobre las directivas seleccionadas, como:

  • Donde las directivas buscan información confidencial.
  • Qué tipo de información confidencial buscan las directivas.
  • Qué escenarios desencadenan las directivas.
  • Cómo se ven afectados los usuarios finales por las directivas.
  • Cómo se notifica a los administradores.

Puede dinamizar aún más la investigación por unidades administrativas, ubicaciones que DLP protege y tipos de datos que se han clasificado

Requisitos previos

  • La organización debe tener licencia para Security Copilot.
  • La cuenta que use para acceder a la característica Obtener información con Copilot debe estar en el rol de administrador de Information Protection.

Test-DlpPolicies

Test-DlpPolicies es un cmdlet que permite ver qué directivas DLP con ámbito de SharePoint y OneDrive coinciden (o no coinciden) con un elemento individual en SharePoint o OneDrive.

Antes de empezar

  • Debe poder conectarse a Exchange Online PowerShell.
  • Debe tener una dirección SMTP válida a la que enviar el informe. Por ejemplo: dlp_admin@contoso.com
  • Debe tener el identificador de sitio donde se encuentra el elemento.
  • Debe tener la ruta de acceso del vínculo directo al elemento.

Importante

  • Test-DlpPolicies solo funciona para los elementos que están en SharePoint o OneDrive.
  • Test-DlpPolices solo notifica los resultados de las directivas que incluyen SharePoint solo, OneDrive solo o SharePoint y OneDrive en su ámbito.
  • Test-DlpPolices solo funciona con condiciones sencillas. No funciona con condiciones complejas, agrupadas o anidadas.

Uso de Test-DlpPolices

Para ver qué directivas DLP coinciden con un elemento, siga estos pasos:

  1. Abra la carpeta SharePoint o OneDrive en un explorador.

  2. Seleccione los puntos suspensivos del archivo y seleccione los detalles.

  3. En el panel de detalles, desplácese hacia abajo y seleccione Ruta de acceso. Copie el vínculo directo y guárdelo.

    Por ejemplo:

    https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx

Obtención del identificador de sitio

  1. Conéctese al PowerShell de Exchange Online.

  2. Para SharePoint, use la sintaxis siguiente para obtener el identificador de sitio y guardarlo:

    
    $reportAddress = "email@contoso.com" 
    
    $siteName = "SITENAME@TENANT.onmicrosoft.com" 
    
    $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx"  
    
    $r = Get-Mailbox -Identity $siteName -GroupMailbox 
    
    $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
    
    Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddress
    
    
  3. Para OneDrive, use la sintaxis siguiente para obtener el identificador de sitio y guardarlo.

    
    $reportAddress = "email@contoso.com" 
    
    $odbUser = "USER@TENANT.onmicrosoft.com" 
    
    $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" 
    
    $r = Get-Mailbox -Identity $odbUser 
    
    $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
    
    Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress
    
    

    Este es un ejemplo de un valor devuelto:

    36ca70ab-6f38-7f3c-515f-a71e59ca6276

Ejecutar Test-DlpPolicies

  • Ejecute la sintaxis siguiente en la ventana de PowerShell:

    Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>
    

    Por ejemplo:

    Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>

Interpretar el informe

El informe se envía a la dirección SMTP a la que pasó el comando de PowerShell Test-DlpPolicies. Hay varios campos. Estas son las explicaciones de las más importantes.

Nombre del campo Medio
Id. de clasificación El tipo de información confidencial (SIT) que el elemento se clasifica como
Intervalo.Confianza El nivel de confianza de la SIT
Count El número total de veces que se encontró el valor sit en el elemento, esto incluye duplicados.
Recuento único Número de valores SIT encontrados en el elemento con duplicados eliminados
Detalles de la directiva Nombre y GUID de la directiva que se evaluó
Reglas: detalles de la regla Nombre y GUID de la regla DLP
Reglas: predicados: nombre Condición definida en la regla DLP
Reglas: predicados: IsMatch Si el elemento coincidió con las condiciones
Predicados: acciones anteriores Cualquier acción, como notificar al usuario, bloquear, bloquear con invalidación que se ha realizado en el elemento
Predicados: acciones de la regla Acción definida en la regla DLP
Predicados: IsMatched Si el elemento coincidió con la regla
IsMatched Si el elemento coincidió con la directiva general

Consulta también